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Vragen van het lid Klein (Klein) aan de Minister van Binnenlandse Zaken en 
Koninkrijksrelaties over de berichtgeving in verschillende media inzake de 
veiligheid van persoonsgegevens bij gemeenten (ingezonden 21 april 2016). 

Antwoord van Minister Plasterk (Binnenlandse Zaken en Koninkrijksrelaties) 
(ontvangen 20 mei 2016). 

Vraag 1 

Bent u op de hoogte van het bericht «gemeente Amersfoort lekt zorggege- 
vens» in het Algemeen Dagblad van 12 april 2016? Bent u eveneens op de 
hoogte van de inhoud van het onderzoeksrapport «Toestemming Sociaal 
Domein» zoals dat door de Autoriteit Persoonsgegevens op 19 april is 
gepubliceerd? Bent u daarnaast ook op de hoogte van het bericht «Gemeen¬ 
ten onzorgvuldig met privegegevens burgers» op NOS.nl, en het bericht 
«Persoonlijke gegevens niet in goede handen bij gemeenten» uit het NRC, 
beide verschenen op 19 april 2016? 1 2 3 

Antwoord 1 
Ja. 

Vraag 2 

Is de berichtgeving dat de gemeente Amersfoort zich onlangs met het delen 
van de persoonsgegevens schuldig heeft gemaakt aan een zogeheten datalek, 
waar? Zijn inderdaad door een blunder van de gemeente Amersfoort de 
persoonsgegevens (waaronder de burgerservicenummers (BSN), de naam- en 
adresgegevens en een omschrijving van de (jeugd)zorg) van 1.000 tot 1.500 
inwoners die zorg ontvangen via de sociale wijkteams) in verkeerde handen 
gevallen? 


1 http://www.ad.nl/ad/nl/31848/Amersfoort/article/detail/4280488/2016/04/12/Gemeente- 
Amersfoort-lekt-zorggegevens.dhtml. 

2 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/ 
rapport_de_roLvan_toestemming_in_het_sociaaLdomein.pdf. 

3 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 
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Antwoord 2 

Er was inderdaad sprake van een incident in de gemeente Amersfoort dat is 
gemeld bij de Autoriteit Persoonsgegevens (hierna ook: AP). De gemeente 
Amersfoort geeft op haar website openheid van zaken over de gebeurtenis¬ 
sen en de maatregelen die zij heeft getroffen om verdere verspreiding van de 
gegevens te voorkomen. 

Vraag 3 

Hoe rijmt deze berichtgeving volgens u met uw antwoorden op eerdere 
vragen waarin u poneert dat uw inziens «geen gemeenten bekend zijn (red.) 
die informatiebeveiliging in het algemeen of de beveiliging van persoonsge¬ 
gevens in het bijzonder niet op orde zouden hebben»? 4 Kunt u deze 
discrepantie nader uitleggen c.q. verklaren? Welke stelling is juist: hebben 
gemeenten volgens u nou wel of niet de veiligheid van persoonsgegevens op 
orde? Zo nee, waarom niet en in welke mate niet? 

Antwoord 3 

Wanneer gemeenten en andere organisaties persoonsgegevens verwerken, is 
de Wet bescherming persoonsgegevens van kracht. Voor informatieverwer¬ 
king in het sociaal domein komen daar nog specifieke bepalingen uit de 
materiewetten zoals de Wmo 2015 en de Jeugdwet bij. De Autoriteit 
Persoonsgegevens ziet daarop toe. Om verwerkers van persoonsgegevens 
inzicht te geven in de handhaving, heeft het College bescherming persoons¬ 
gegevens (de voorloper van de Autoriteit Persoonsgegevens) in 2013 
richtsnoeren gepubliceerd (http://wetten.overheid.nl/BWBR0033572). Voor 
informatieveiligheid hebben gemeenten zich bovenop deze wettelijke plicht 
die geldt voor de verwerking van persoonsgegevens gecommitteerd aan de 
implementatie van de Baseline Informatiebeveiliging voor Gemeenten (BIG). 
Het incident in Amersfoort berustte op een menselijke fout, niet op een fout 
in de techniek of procedures. 

In antwoord op vragen van de leden Veldman, De Caluwé en Oosenbrug 
(Aanhangsel Handelingen, vergaderjaar 2015-2016, nr. 2076) ging ik in op de 
wijze waarop gemeenten in samenwerking met hun toeleveranciers een 
kwetsbaarheid hebben opgelost en dat gemeenten de BIG als gezamenlijk 
normenkader hanteren. In dat normenkader staan fysieke, organisatorische en 
technische maatregelen beschreven die gemeenten doorvoeren om de 
beveiliging van gegevens zoveel als mogelijk te garanderen. Desondanks is 
een menselijke fout natuurlijk nooit 100% uit te sluiten. Het gaat er om dat 
gemeenten lering trekken uit dergelijke incidenten en deze benutten om hun 
beleid op details aan te scherpen. Ik constateer dat de gemeente Amersfoort 
direct actie heeft ondernomen om te trachten de fout te herstellen, en verdere 
verspreiding van de gelekte gegevens te voorkomen. Daarnaast heeft zij 
openheid van zaken gegeven naar zowel de burgers die het betreft, als naar 
de Amersfoortse bevolking en naar de gemeenteraad. Ook laat de gemeente 
het incident nader onderzoeken om te achterhalen hoe een dergelijke fout in 
de toekomst kan worden voorkomen. Een en ander leidt niet tot de conclusie 
dat gemeenten de informatiebeveiliging in het algemeen of de beveiliging 
van persoonsgegevens in het bijzonder niet op orde zouden hebben. 

Vraag 4 

Bent u het eens met de stelling dat de berichtgeving in het Algemeen 
Dagblad over het datalek binnen de gemeente Amersfoort van onlangs 
overeenkomt met de resultaten van het onderzoek «Toestemming Sociaal 
Domein», zoals dat op 19 april door de Autoriteit Persoonsgegevens is 
gepubliceerd, en waarin wordt geconcludeerd dat geen van de 41 onder¬ 
zochte gemeenten de wettelijke regels kende of deze correct toepaste? Zo ja, 
kunt u hier een reactie op geven? In hoeverre bent u bereid te erkennen dat 
er bij gemeenten op het gebied van de veiligheid van persoonsgegevens 
inderdaad een probleem bestaat, zoals de Autoriteit in haar onderzoek 
concludeert en waarvan de berichtgeving in het AD een voorbeeld is? Zo nee, 
kunt u hier eveneens een reactie op geven? Waarom zou er volgens u geen 
probleem met de veiligheid van persoonsgegevens bij gemeenten bestaan 


4 Aanhangsel van de Handelingen 2015-2016, nr. 2076. 
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ondanks dat zowel het bovengenoemde onderzoek van de Autoriteit alsmede 
het bericht in het AD het tegendeel beweren, casu quo laten zien? 

Antwoord 4 

Ik ben het niet eens met de stelling dat de berichtgeving in het Algemeen 
Dagblad over het incident binnen de gemeente Amersfoort overeenkomt met 
de resultaten van het onderzoek dat op 19 april door de Autoriteit Persoons¬ 
gegevens is gepubliceerd. Het onderzoek van de Autoriteit Persoonsgegevens 
is gericht op het vragen van toestemming als wettelijke grondslag voor 
gegevensverwerking in het sociaal domein. De vraag of gemeenten al dan 
niet toestemming vragen aan hun cliënten als grondslag voor gegevensver¬ 
werking heeft niets te maken met de omgang met datalekken. Een incident 
als dat in Amersfoort moet gemeld worden bij de Autoriteit Persoonsgege¬ 
vens. Daar is iedere gemeente van op de hoogte. De Autoriteit Persoonsgege¬ 
vens heeft in december 2015 beleidsregels uitgevaardigd voor de toepassing 
van de meldplicht datalekken in de Wet bescherming persoonsgegevens. 

Vraag 5 

Herkent u het beeld dat geschetst wordt in het artikel «Gemeenten onzorgvul¬ 
dig met privégegevens burgers» waarin naar voren komt dat gemeenten niet 
weten welke privacygevoelige informatie ze mogen vragen van burgers die 
bij hen aankloppen voor ondersteuning en zorg? 

Antwoord 5 

Het rapport van de Autoriteit Persoonsgegevens gaat over de vraag hoe 
gemeenten omgaan met toestemming. De Autoriteit Persoonsgegevens 
constateert dat gemeenten veelal toestemming vragen voor gegevensverwer¬ 
king in het sociale domein. De Autoriteit zegt dat toestemming meestal geen 
grondslag kan zijn in het sociaal domein omdat die toestemming niet in 
vrijheid gegeven kan worden, de betreffenden zijn immers afhankelijk van de 
gemeente voor hulp. De Autoriteit zegt echter ook dat er in die gevallen vaak 
een andere grondslag voor gegevensverwerking is, een in de materiewetge- 
ving opgenomen wettelijke verplichting of publiekrechtelijke taak. Gemeenten 
die toestemming als grondslag zien, gaan dus uit van de verkeerde wettelijke 
grondslag. Aan dat onderwerp is het afgelopen jaar veel aandacht besteed in 
de ondersteuning van gemeenten. 

Het voorbeeld dat in het artikel wordt aangehaald herken ik niet als algemeen 
beeld. Het is een verantwoordelijkheid van gemeenten om ervoor te zorgen 
dat hun medewerkers steeds zorgvuldige afwegingen maken omtrent de 
noodzaak om bepaalde gegevens wel of niet uit te vragen bij betrokkenen. 

Vraag 6 

Kunt u een reactie geven op het feit dat de Autoriteit Persoonsgegevens 5 
«schrikt van het gebrek aan kennis over privacyregels» (bij gemeenten.)? 

Antwoord 6 

Natuurlijk begrijp ik dat de Autoriteit Persoonsgegevens daarvan schrikt. Het 
is voor de naleving van de privacyregels, waarop de Autoriteit toezicht houdt, 
immers van belang dat gemeenten goede kennis over die regels in huis 
hebben. Ik meen echter dat er sinds vorig jaar mei heel hard gewerkt is door 
gemeenten aan het vergroten van die kennis. 

Vraag 7 

Kunt u zich voorstellen, dat burgers afgeschrikt kunnen worden wanneer hun 
gemeente hen allerlei persoonlijke vragen stelt? 6 Zo nee, waarom niet? 

Antwoord 7 

Wanneer de vragen die gemeenten stellen niet ter zake en niet nodig zijn 
voor het uitvoeren van de gemeentelijke taken op basis van de hulpvragen 
van de betreffende burgers, kan dat burgers inderdaad afschrikken. Dat is ook 
niet toegestaan. Voorts ben ik het met de Autoriteit Persoonsgegevens eens 


http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 
http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 
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dat het van belang is dat gemeenten goed uitleggen waarom ze persoonlijke 
gegevens vragen en voor welk doel ze die gebruiken. De Wet bescherming 
persoonsgegevens schrijft immers voor dat betrokkenen worden geïnfor¬ 
meerd over hun betreffende gegevensverwerkingen. Als burgers een goede 
uitleg krijgen zullen ze niet zo snel afgeschrikt worden. 

Vraag 8 

Bent u het met de constatering van de Autoriteit Persoonsgegevens 7 eens dat 
er momenteel te weinig waarborgen betreffende privacybescherming zijn? Zo 
nee, waarom niet? 

Antwoord 8 

Ik ben van mening dat de wettelijke kaders voor die waarborgen op dit 
moment toereikend zijn. Ik ben ook van mening dat de handreikingen en 
richtlijnen die daarnaast geboden worden gemeenten in staat stellen om die 
waarborgen te treffen. 

Vraag 9 

Bent u het met de constatering van de Autoriteit Persoonsgegevens 8 eens dat 
u de zaak teveel op z'n beloop heeft gelaten? Zo nee, waarom niet? 

Antwoord 9 

Nee, dat ben ik niet met de Autoriteit Persoonsgegevens eens zoals ik ook 
uiteengezet heb in mijn brief aan uw Kamer d.d. 29 april 2016 (Kamerstuk 
32 761, nr. 98). 

Vraag 10 

Bent u het met de constatering van de Autoriteit Persoonsgegevens 9 eens dat 
er momenteel sprake is van verschillende regels die niet altijd in overeen¬ 
stemming zijn met elkaar? 

Antwoord 10 

De Autoriteit Persoonsgegevens maakt in het rapport niet duidelijk welke 
regels volgens haar niet in overeenstemming zijn met elkaar. Als de Autoriteit 
concreet aangeeft welke regels zij bedoelt, zullen wij daar uiteraard naar 
kijken. 

Vraag 11 

Kunt u een reactie geven op de constatering van de Autoriteit 10 dat er sprake 
is van een «gebrek aan sturing vanuit Den Haag»? Houdt u vast aan de 
bewering in uw eerder genoemde antwoord op vragen waarin u poneerde 
dat «informatiebeveiliging van gemeenten een lokale aangelegenheid is»? Zo 
ja, waarom? Zo nee, waarom niet? 

Antwoord 11 

Het is inderdaad een verantwoordelijkheid van de gemeenten om ervoor te 
zorgen dat zij voldoen aan de wet. Zowel waar het gaat om de informatievei¬ 
ligheid, als waar het gaat om de borging van de privacy van burgers. 

Met betrekking tot de informatieveiligheid hebben gemeenten de afgelopen 
jaren veel inspanningen verricht en zich o.a. gecommitteerd aan de BIG. Bij 
de VNG is de IBD (Informatiebeveiligingsdienst) ingericht om gemeenten te 
ondersteunen bij de implementatie. Vanuit BZK hebben wij dat van februari 
2013 tot februari 2015 ondersteund met de Taskforce Bestuur en Informatie¬ 
veiligheid Dienstverlening 

Met betrekking tot de Privacy sociaal domein heb ik u in mijn brief dd. 

29 april 2016 uitgebreid geschetst hoe wij vanuit «Den Haag» richting 


7 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 

8 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 

9 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 

10 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 
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gegeven hebben en gemeenten ondersteund hebben bij het op een goede 
manier borgen van de privacy. 

Vraag 12 

Herkent u de situatie zoals geschetst 11 dat gemeenten momenteel voor de 
zekerheid overal maar toestemming voor vragen - ook als dat wettelijk niet 
hoeft - wat volgens de Autoriteit Persoonsgegevens het vertrouwen van 
burgers in de overheid niet ten goede komt? Zo nee, waarom niet? Zo ja, 
welke concrete maatregelen kan en wilt u nemen om dit vertrouwen van 
burgers te herstellen? 

Antwoord 12 

Ik ben het met de Autoriteit Persoonsgegevens eens dat -voor zover 
gemeenten dat nog steeds doen - die situatie ongewenst is. In mijn brief d.d. 
29 april 2016, heb ik uitgebreid geschetst hoe wij gemeenten ook op dit punt 
ondersteund hebben om ervoor te zorgen dat zij de juridische basis van hun 
gegevensverwerking goed op orde hebben. Die ondersteuning wordt nog 
voortgezet via masterclasses onder de vlag van de VNG. 

Ik heb geen indicatie dat een onjuist gebruik van toestemming door 
gemeenten ertoe heeft geleid dat het vertrouwen in de overheid is afgeno¬ 
men. 

Vraag 13 

Welke structurele maatregelen heeft u tot nu toe ondernomen om de 
veiligheid van persoonsgegevens bij gemeenten voor de burgers controleer¬ 
baar te verbeteren? 

Antwoord 13 

Binnen het wettelijke kader dat wordt geboden door de Wet bescherming 
persoonsgegevens is het beveiligen van persoonsgegevens bij gemeenten, 
net als informatiebeveiliging van gemeenten, een lokale verantwoordelijkheid. 
Gemeenten hebben de BIG als normenkader vastgesteld middels de Resolutie 
informatieveiligheid en zijn voortvarend aan de slag gegaan met de imple¬ 
mentatie hiervan. De BIG biedt technische, organisatorische en fysieke 
handvatten om de beveiliging van persoonsgegevens te kunnen waarborgen. 
Gemeenten voeren een gefaseerde en gedifferentieerde implementatie van de 
BIG door die gebaseerd is op lokale (risico)afwegingen. De IBD is opgericht 
door gemeenten zelf en ondersteunt hen in generieke zin bij de implementa¬ 
tie van de BIG en faciliteert kennisdeling tussen gemeenten. Vanuit BZK is dat 
ondersteund met de Taskforce Bestuur en Informatieveiligheid Dienstverle¬ 
ning. 

Vraag 14 

Bent u het met de Autoriteit Persoonsgegevens eens dat het tijd wordt dat 
gemeenten met duidelijke richtlijnen gaan werken? Bent u het met de 
Autoriteit Persoonsgegevens eens dat er een simpel overzicht moet komen 
van wat mag en wat niet? Zo nee, waarom niet? 

Antwoord 14 

Er zijn duidelijke richtlijnen, dat wil niet zeggen dat daarmee alles eenvoudig 
is. U vraagt om een simpel overzicht van wat mag en wat niet mag, maar zo 
werkt de Wet bescherming persoonsgegevens niet. De wet vraagt om een 
afweging te maken welke gegevens noodzakelijk zijn. Wat noodzakelijk is, is 
afhankelijk van de specifieke casus en de specifieke situatie. Bij een eenvou¬ 
dige problematiek kunnen gemeenten toe met minder gegevens. Bij 
complexe multi-problematiek zullen meer gegevens noodzakelijk zijn om tot 
goede ondersteuning te komen. 

Alleen voor standaardprocessen als het maken van een beschikking of 
facturering is een simpel overzicht mogelijk. Dat kan echter ook per gemeente 
verschillen. Niet iedere gemeente werkt met contracten op basis van 
individuele behandelingen. Sommige gemeenten werken met lump-sum 
bekostiging, daar zijn geen persoonsgegevens voor nodig. 


11 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 
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Vraag 15 

Herkent u het beeld 12 dat u «gemeenten heeft laten zwemmen bij de 
decentralisaties van zorgtaken door geen duidelijke regels over privacy mee 
te geven» 

Antwoord 15 

Zoals ik in mijn brief van 29 april heb uiteengezet herken ik het beeld niet dat 
ik de gemeenten heb laten zwemmen. 

Vraag 16 

Kunt u een reactie geven op het citaat van de heer Tomesen, vicevoorzitter 
van de Autoriteit Persoonsgegevens: «Het Rijk had duidelijkheid moeten 
scheppen. Gemeenten weten nu niet wat ze ermee aan moeten, en dus ligt 
het probleem bij de burger»? Kunt u aangeven wat u van plan bent te doen 
om ervoor te zorgen dat dit probleem bij de burger wordt weggenomen? 

Antwoord 16 

Ik ben niet van mening dat het Rijk geen duidelijkheid heeft geschapen. Wij 
hebben mede naar aanleiding van eerdere signalen van de Autoriteit 
Persoonsgegevens richting gegeven aan gemeenten middels de kabinetsvisie 
«Zorgvuldig en bewust». Wij hebben vervolgens nadere invulling gegeven 
aan de wijze waarop gemeenten de privacy moeten borgen middels de 
Privacy Impact Assessment 3D. Vervolgens hebben wij met de VNG master- 
classes verzorgd om gemeenten verder op weg te helpen. Telkens wanneer 
gemeenten in de uitvoering op onduidelijkheden stuitten is er vanuit Rijk en 
VNG van alles aan gedaan om helderheid te scheppen door middel van 
handreikingen etcetera. Waar nodig is ook de wet aangepast, zoals de 
veegwet Jeugd. Dat is wat ik bedoel met «richting geven aan de lerende 
praktijk.» Daar gaan we ook mee door, zoals u in mijn brief van 29 april 2016 
heeft kunnen lezen(Kamerstuk 32 761, nr. 98). 

Vraag 17 

Is het waar dat de Autoriteit Persoonsgegevens 13 , in het verleden herhaalde¬ 
lijk heeft gewaarschuwd voor dit soort praktijken? 

Antwoord 17 

De Autoriteit heeft eerder zorgen geuit over mogelijke privacyrisico's bij 
gemeenten. Mede daarom zijn er vanuit het Rijk en de VNG de afgelopen 
jaren allerlei acties ondernomen om gemeenten te ondersteunen bij een 
gestructureerde aanpak van privacy bij de nieuwe taken in het sociaal 
domein. Zie ook mijn antwoord op vraag 16 en mijn brief van 29 april 2016. 

Vraag 18 

Kunt u reageren op de constatering van de heer Tomesen, 14 dat daar 
«onvoldoende naar is geluisterd»? 

Antwoord 18 

Ik ben de Autoriteit Persoonsgegevens zeer erkentelijk voor haar rapport. Het 
rapport bevestigt voor mij dat de inhoudelijke richting die wij geven aan 
gemeenten de goede is. Juist omdat wij in het verleden goed geluisterd 
hebben naar de zorgen van de Autoriteit. Ik ben blij dat de Autoriteit 
duidelijkheid geeft aan gemeenten over wat zij als toezichthouder belangrijk 
vindt, zodat gemeenten hun verantwoordelijkheid kunnen nemen, met 
gebruikmaking van hetgeen het Rijk en de VNG hen hebben aangereikt. 


12 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 

13 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 

14 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 
Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7. 
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